Права людини в ІТ-сфері у частині захисту персональних даних

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Національна академія Служби безпеки України

Права людини в ІТ-сфері у частині захисту персональних даних

Жевелєва І.С.,

к.ю.н., доцент, доцент кафедри організації захисту інформації з обмеженим доступом

Анотація

Стаття присвячена актуальній проблематиці захисту прав людини у цифровому середовищі. Автор розглядає важливість захисту персональних даних в ІТ, звертаючи увагу на різноманітність та обсяг даних, що генеруються користувачами в процесі їхньої взаємодії з інформаційними технологіями. Особливу увагу приділено співвідношенню між правом на приватність і правом на захист персональних даних, демонструючи, як із основоположного права випливають інші права в ІТ сфері, такі як право на анонімність, право на доступ до інформації про себе, право на виправлення неправдивих даних, та інші.

Автор детально розглядає сучасні виклики, які постають перед захистом персональних даних в ІТ сфері, такі як транскордонна передача даних, використання великих масивів даних, та інформатизація суспільства. Також акцентується на різних типах витоку персональних даних, включаючи активні та пасивні цифрові сліди, а також на відомості, що є результатом обробки та аналізу цих слідів.

Стаття охоплює різні правові аспекти, включаючи огляд міжнародних норм та законодавства, зокрема європейської моделі захисту персональних даних та її впливу на законодавство України. Підкреслюється важливість гармонізації національного законодавства з європейськими стандартами, зокрема зі стандартами GDPR. Автор також висвітлює роль та повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних та важливість забезпечення прав користувачів на захист їхніх персональних даних.

Аналізується роль державних і недержавних організацій у формуванні культури захисту даних, а також потреба в розробці та впровадженні новітніх технологічних рішень для посилення приватності та безпеки персональних даних. Підкреслюється важливість глобального діалогу та співпраці в цій сфері як ключ до ефективного реагування на сучасні виклики захисту цифрових прав людини.

В цілому, стаття піднімає важливе питання балансу між інноваціями в ІТ сфері та захистом прав людини, особливо в частині захисту персональних даних, та наголошує на потребі оновлення українського законодавства у цій галузі.

Ключові слова: права людини, ІТ сфера, захист персональних даних, приватність, GDPR.

Abstract

право приватність персональний цифровий

Human rights in the it sphere in the aspect of personal data protection

The article is dedicated to the pressing issue of human rights protection in the digital environment. The author examines the importance of personal data within the context of IT technologies, focusing on the diversity and volume of data generated by users in their interactions with information technologies. Special attention is given to the relationship between the right to privacy and the right to protect personal data, demonstrating how from this fundamental right, other rights in the IT sphere emerge, such as the right to anonymity, the right to access information about oneself, the right to correct false data, among others.

The author thoroughly examines the modern challenges faced in the protection of personal data in the IT sphere, such as cross-border data transfer, the use of large data arrays, and the informatization of society. The article also emphasizes different types of personal data leakage, including active and passive digital traces, as well as information resulting from the processing and analysis of these traces.

The article covers various legal aspects, including a review of international norms and legislation, particularly the European model of personal data protection and its influence on Ukrainian legislation. The importance of harmonizing national legislation with European standards, especially GDPR standards, is highlighted. The author also illuminates the role and authority of the Ukrainian Parliament Commissioner for Human Rights in the field of personal data protection and the importance of ensuring users' rights to protect their personal data.

The role of government and non-government organizations in developing a culture of data protection is analyzed, as well as the need for developing and implementing the latest technological solutions to enhance the privacy and security of personal data. The importance of global dialogue and cooperation in this sphere is underscored as a key to effectively responding to the modern challenges of protecting digital human rights.

Overall, the article raises an important issue of balancing innovations in the IT sphere with the protection of human rights, especially in the context of personal data, and emphasizes the need for careful regulation and updating of Ukrainian legislation in this field.

Key words: human rights, IT sphere, personal data protection, privacy, GDPR.

Основна частина

Розвиток цифрових технологій та їх всеосяжне проникнення в повсякденне життя людей призводить до збору та обробки величезних обсягів персональних даних.

У сучасному житті ми користуємося великою кількістю безкоштовних послуг в мережі Інтернет, натомість, «сплачуючи» за це даними про себе. Наприклад, користуючись соціальними мережами, мобільними додатками, слухаючи музику в мережі, купуючи товари на онлайн-платформах і в інтернет-магазинах, ми надаємо постачальникам цифрових послуг певний обсяг своїх персональних даних.

Це породжує нові виклики для права на приватність та безпеку цих даних, ставлячи під сумнів ефективність існуючих механізмів їх захисту.

Ситуація ускладнюється транскордонним характером ІТ сфери, коли дані можуть бути зібрані в одній країні, оброблені в другій, а використані в третій. Це вимагає міжнародної кооперації та уніфікації законодавчих підходів до захисту персональних даних.

Право на приватність і право на захист персональних даних - це не тотожні поняття. Право на приватність - це загальне і основоположне право в системі прав людини, яке базується на недоторканості особистого та сімейного життя, честі і репутації, кореспонденції і житла.

З права на приватність формуються інші права у сфері інформаційних технологій:

- право на захист персональних даних;

- право на анонімність;

- право на доступ суб'єкта персональних даних до інформації про себе;

- право на виправлення неправдивих персональних даних;

- право на видалення (право на забуття) - право вимагати видалити всі дані про себе;

- право на обмеження обробки персональних даних;

- право на портативність - право легкого перенесення персональних даних;

- право на заперечення - право заперечити обробку своїх персональних даних без свого відома або шляхом введення в оману та ін.

Розвиток комп'ютерних технологій, можливість обробки великих масивів даних, транскордонна передача даних, інформатизація та цифровізація суспільних відносин провокують активізацію ризиків приватності загалом і захисту персональних даних користувачів цифрових технологій зокрема. А забезпечення приватності у мережі Інтернет великою мірою ґрунтується на праві користувача на захист своїх персональних даних.

Користувач Інтернету під час використання мережі усвідомлено чи неусвідомлено лишає після себе такі персональні дані:

- активні цифрові сліди - це дані, які користувачі самостійно та свідомо розміщують у Інтернеті. Наприклад, завантаження фотографій, публікація інформації про себе у соціальних мережах, заповнення анкет при реєстрації на веб-сайтах, написання відгуків про товари та послуги в онлайн-магазинах, оглядів про відвідувані місця тощо. Користувачі, як правило, усвідомлюють розміщення таких даних, але можуть не розуміти всіх можливих наслідків їхнього розповсюдження;

- пасивні цифрові сліди - це дані, які збираються автоматично без активної дії користувача або без свідомої їх публікації. Наприклад, файли cookie, дані про місцезнаходження пристрою, метадані зі світлин, відомості, що завантажуються в результаті використання Інтернету речей тощо. Користувачі, як правило, не усвідомлюють розміщення таких даних у результаті своєї діяльності в Інтернеті;

- дані, що є результатом обробки та аналізу активних і пасивних цифрових слідів. Наприклад, наслідком цього процесу стають профайлінг користувача, таргето - вана реклама, автоматичні рекомендації контенту, автоматизоване прийняття рішень тощо. Продукуються за допомогою алгоритмів та машинного навчання з метою глибокого аналізу зібраної інформації.

Ще у 1981 році Радою Європи була ухвалена Конвенція про захист осіб у зв'язку із автоматизованою обробкою персональних даних (була ратифікована Верховною Радою України 06.07.2010 року), в якій було надано визначення терміну персональні дані як будь-якої інформації щодо конкретно визначеної особи або особи, що може бути конкретно визначеною [1].

До основних персональних даних (ідентифікаторів) особи в ІТ сфері належать такі відомості:

- прізвище, ім'я, по батькові;

- ідентифікаційний номер;

- дані про місцеперебування;

- онлайн-ідентифікатори: IP-адреса, cookie-файли, мітки радіочастотної ідентифікації та ін.;

- фотографії;

- записи голосу;

- фактори, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності фізичної особи - як правило, відносяться до категорії «чутливих даних» і підлягають посиленому захисту.

До «чутливих» даних належать:

- генетичні дані - відомості, які стосуються генетичних характеристик особи, незалежно від того, є вони вродженими чи набутими. Ці дані відображають унікальні особливості фізіології та стану здоров'я цієї особи, і, як правило, отримуються через аналіз біологічної проби;

- біометричні дані - відомості, зібрані за допомогою технічних методів, які пов'язані з фізичними, фізіологічними або поведінковими характеристиками особи. До таких даних можуть належати зображення обличчя або відбитки пальців, які служать засобами однозначної ідентифікації або підтвердженням особистості конкретної фізичної особи;

- дані про сексуальну орієнтацію та особисте життя;

- дані про стан здоров'я особи - відомості, які вказують на фізичне або психологічне здоров'я конкретної особи. Ці дані можуть включати інформацію про надані медичні послуги, яка може вказувати на стан здоров'я цієї особи;

- дані про расове і етнічне походження;

- політичні переконання та релігійні вірування тощо.

У зарубіжній практиці виділяють декілька моделей правового забезпечення захисту персональних даних:

1. Європейська, яка передбачає наявність спеціального окремого закону, який регламентує захист персональних даних;

2. Американська, що заснована на галузевому підході, коли ухвалюються різні правові акти залежно від окремих сфер суспільних відносин.

3. Змішана, яка комбінує елементи обох вищезгаданих моделей [2, с. 52].

В Україні захист персональних даних регулюється Законом України «Про захист персональних даних» [3], який у статті 2 визначає персональні дані як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Даний Закон поширюється на діяльність з обробки персональних даних як автоматизованим способом, з використанням інформаційних технологій, так і з використанням неавто - матизованих засобів.

Законом України «Про захист персональних даних» встановлюється вичерпний перелік підстав для обробки персональних даних. Основною підставою для обробки персональних даних є згода на це суб'єкта персональних даних. Згодою вважається свідоме та добровільне волевиявлення фізичної особи, яка повністю поінформована з питань обробки її даних, дозволити обробляти свої персональні дані для конкретної мети. Таке волевиявлення може бути зафіксоване письмово або в іншій формі, яка підтверджує наміри особи.

У мережі Інтернет інформування особи веб-сайтом щодо збирання та обробки її персональних даних реалізується через сповіщення її щодо політики приватності сайту, або використання файлів cookiesпри реєстрації облікового запису або при першому користуванні онлайн-ресурсом. При цьому, згода надається у формі встановлення позначки, що свідчить про дозвіл на обробку своїх персональних даних. Зазначимо, що у цифровому середовищі натиснення на кнопку «згоден», «дозволяю» тощо або встановлення позначки у відповідному полі, розглядається як законне підтвердження згоди користувача на обробку його персональних даних. Законом гарантується право суб'єкта персональних даних скасувати (відкликати) свою згоду на обробку цих даних онлайн-сервісами у будь-який момент.

В Україні державним регулятором - органом, на який покладені повноваження із захисту персональних даних, є Уповноважений Верховної Ради України з прав людини. У структурі Секретаріату Уповноваженого Верховної Ради України з прав людини діє Департамент у сфері захисту персональних даних.

Діючий Закон «Про захист персональних даних» був прийнятий у 2010 році і потребує приведення його до вимог європейського законодавства. Однією із вимог членства України в ЄС є гармонізація національного законодавства є європейськими стандартами [4]. У сфері захисту персональних даних потребують імплементації у вітчизняне законодавство норми Загального регламенту про захист даних - Generaldataprotectionregulation (далі - GDPR) [5], одного із найбільш детальних нормативних актів щодо захисту персональних даних у світі.

Наразі в Україні норми GDPRзастосовуються лише до тих українських компаній, які працюють із персональними даними резидентів Європейського Союзу або Європейської економічної зони.

GDPRвизначає персональні дані як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Відповідно до GDPRопрацювання персональних даних - це будь-яка операція або сукупність операцій з персональними даними або наборами персональних даних, яка проводиться з використанням автоматизованих засобів або без них.

До опрацювання персональних даних належать:

- збирання,

- реєстрація,

- організація,

- структурування,

- зберігання,

- адаптація чи зміна,

- пошук,

- ознайомлення,

- використання,

- розкриття через передавання,

- розповсюдження чи надання іншим чином,

- упорядкування чи комбінування,

- обмеження,

- стирання чи знищення даних.

Принципи опрацювання персональних даних за GDPRвідображені у статті 5 даного Регламенту. Основними з них є:

- Принцип законності, правомірності і прозорості - полягає у опрацюванні персональних даних у законний, правомірний і прозорий спосіб щодо суб'єкта даних.

- Принцип цільового обмеження - мета збору персональних даних повинна бути чіткою і законною, а спосіб опрацювання таких даних повинен бути сумісним з визначеною метою.

- Принцип мінімізації даних засновується на необхідності обмеження кількості персональних даних, що опрацьовуються, мірою необхідності в них, з урахуванням визначеної мети такого опрацювання.

- Принцип точності полягає у необхідності своєчасного оновлення та негайного виключення або виправлення неточних персональних даних.

- Принцип обмеження зберігання регламентує обмеження терміну зберігання персональних даних досягненням цілей їхнього опрацювання, за виключенням тих даних, які опрацьовуються винятково з метою суспільного інтересу, статистичних, наукових чи історичних досліджень.

- Принцип цілісності і конфіденційності полягає у забезпеченні належної безпеки персональних даних із використанням організаційного і технічного інструментарію.

- Принцип підзвітності полягає у відповідальності за дотримання принципів опрацювання персональних даних і здатності підтвердити їх виконання.

Третій розділ європейського Регламенту із захисту персональних даних закріплює такі права суб'єктів персональних даних (фізичних осіб - власників персональних даних):

- Право бути проінформованим (righttobeinformed) - полягає у обізнаності суб'єкта щодо своїх персональних даних. Він має право знати, які саме дані обробляються, на яких підставах і яким чином, а також іншу передбачену законодавством інформацію.

- Право на доступ (rightofaccess) - полягає у можливості суб'єкта отримати доступ до своїх персональних даних, а також до копії цієї інформації, що зберігається контролером.

- Право на зміну даних (righttorectification) - засноване на можливості суб'єкта даних змінити та/або доповнити неточні або неповні дані щодо себе.

- Право на видалення даних (righttoerasure) - полягає у праві суб'єкта даних на запит щодо видалення своїх персональних даних. Регламент передбачає обмеження такого права у визначених випадках.

- Право на обмеження обробки (righttorestrictionofprocessing) - полягає у праві суб'єкта даних обмежити обробку своїх персональних шляхом тимчасового видалення, переміщення або закриття доступу до такої інформації.

- Право на мобільність даних (righttodataportability) - надає можливість суб'єкту даних використовувати однакові персональні дані з власною метою на різних сервісах.

- Право на заперечення (righttoobject) - передбачає, що особа, чиї дані обробляються, має змогу заперечити обробку, яка відбувається на підставі виконання публічного завдання або юридично обґрунтованого інтересу контролера даних.

- Права, пов'язані з автоматизованим прийняттям рішень, зокрема профілюванням (rightsrelatedtoautomateddecisionmakingincludingprofiling) - дають суб'єкту даних можливість відмовитись від автоматизованого прийняття рішень щодо себе, які мають правові наслідки.

- Право відкликати надану згоду на обробку персональних даних - встановлює здатність суб'єкта даних вимагати припинити обробку своїх персональних даних шляхом скасування своєї згоди на це.

- Право подати скаргу до компетентного наглядового органу - забезпечує можливість суб'єкта даних звернутись до відповідного регулятора з метою відновлення своїх порушених прав у сфері захисту персональних даних.

Хоча GDPRвизначає ключові принципи обробки персональних даних в межах ЄС та ЄЕЗ, він не є єдиним правовим інструментом у цій сфері. Головна мета GDPR - визначити основний стандарт обробки персональних даних. Однак країни ЄС та Європейської Економічної Зони можуть вводити додаткові норми, які не повинні конфліктувати з GDPR.

Підводячи підсумок дослідження акцентуємо увагу на тому, що право на захист персональних даних є надзвичайно важливим аспектом прав людини в цифровому середовищі. Це обумовлено зростаючою роллю інформаційних технологій в повсякденному житті та постійно зростаючим обсягом та різноманітністю збираних та оброблюваних персональних даних в ІТ сфері. Зважаючи на міжнародний характер цифрового середовища та мережі Інтернет, належний захист цих даних вимагає міжнародної уніфікації правових підходів та вимог, а також постійної адаптації правових норм до постійно змінюваного технологічного середовища.

Оновлення вітчизняного законодавства про захист персональних даних з імплементацією вимог GDPRє нагальною потребою як для підвищення ефективності дотримання прав людини у цифровому середовищі, виконання вимог євроінтеграційного процесу, так і для підвищення конкурентоспроможності українських ІТ компаній на світовому ринку.

Література

1. Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних: Закон України від 06.07.2010 року №2438-VI. URL: https://zakon.rada.gov.ua/laws/show/2438-17#Text (дата звернення: 29.11.2023).

2. Попович Т.П. Право особи на захист персональних даних в інтернеті: теоретико-правові аспекти. Аналітично-порівняльне правознавство, 2021. №2. С. 51-54. DOI: https://doi. Org/10.24144/2788-6018.2021.02.9.

3. Про захист персональних даних: Закон України від 01.06.2010 №2297-VI. URL: https://zakon.rada.gov. Ua/laws/show/2297-17#Text (дата звернення: 29.11.2023).

4. Жевелєва І.С. Освітній компонент ІТ права в Україні: сучасний стан та перспективи розвитку. Юридичний науковий електронний журнал, 2022. №6. С. 241-244. URL: http://www.lsej.org.ua/6_2022/56.pdf (дата звернення: 29.11.2023).

5. Загальний регламент про захист даних (GDPR): Офіційний переклад українською мовою. URL: kmu.gov.ua/storage/app/media/ uploaded-files/es-2016679.pdf (дата звернення: 29.11.2023).

Размещено на Allbest.ru